Ciberespionagem global e o Decreto 8.135

Resumo:  A partir de uma série de denúncias feitas por um ex-agente da Agência Central de Inteligência (CIA) dos Estados Unidos, um vasto esquema de monitoramento e vigilância de e-mails e ligações telefônicas empregado pela Agência Nacional de Segurança dos Estados Unidos (NSA) há anos foi revelado ao mundo. O alvo das espionagens incluía não só cidadãos norte-americanos, mas também governos de outros países, entre eles o Brasil. Tal fato fez surgir, imediatamente, uma grande preocupação por parte das autoridades brasileiras. Teve início um movimento que culminou na publicação do Decreto 8.135/2013 como forma de defesa das comunicações de dados da administração pública federal e garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações. O objetivo desse estudo é apresentar uma avaliação do Decreto 8.135/2013 e suas consequências para a administração pública, principalmente no tocante à segurança das informações do governo brasileiro e às ameaças de ciberespionagem internacionais.

Palavras-chave: Decreto 8.135/2013. Espionagem. Ciberespionagem. Segurança Nacional. Segurança da Informação.

---

1       INTRODUÇÃO

Ainda que historicamente a espionagem seja uma prática utilizada há milhares de anos, 2013 ficará marcado devido à intensidade de revelações mostrando diferentes países, autoridades de governo e mesmo empresas estratégicas, como vítimas de atividades de ciberespionagem internacional.

Reações decorrentes dos fatos não demoraram a repercutir em todo o mundo. Desde pedidos formais de esclarecimento ao governo norte-americano, no caso, acusado e pivô do escândalo, até medidas imediatas de mudanças políticas e tecnológicas visando minimizar os riscos, ou sob outra ótica, garantir a segurança de informações sigilosas.

Nesse contexto, o Brasil foi um dos países que imediatamente reagiu às denúncias, especialmente àquelas de espionagem de mensagens eletrônicas da presidenta Dilma Rousseff e assessores. Assim, em um curto espaço de tempo foi instituído o Decreto 8.135/2013, conhecido como o “decreto do e-mail seguro”.

Neste estudo busca-se apresentar uma avaliação crítica do decreto, a partir principalmente da perspectiva tecnológica e de segurança da informação, expondo algumas possíveis consequências que trará para a administração pública e as informações sigilosas do Estado, ante as frequentes ameaças de ciberespionagem internacional.

---

2       ESPIONAGEM

De acordo com a definição do Dicionário Eletrônico Houaiss, espionagem é:

Espionagem. Substantivo feminino. 1 ato ou efeito de espionar. 2 atividade do espião. 3 serviço organizado de um país, uma organização etc., para espionar (algo, alguém). 4 classe ou conjunto de espiões (Houaiss, 2002).

Esclarecendo um pouco mais sua primeira definição, “ato ou efeito de espionar”, temos que, ainda de acordo com o Dicionário Eletrônico Houaiss, espionar é:

Espionar. Verbo transitivo direto e intransitivo. 1 exercer atividade própria de espião (com relação a) [algo ou alguém] (Houaiss, 2002).

O que nos leva à necessidade de definir o termo espião, apresentado pelo Dicionário Eletrônico Houaiss como:

Espião. Substantivo masculino 1 pessoa que vigia secretamente alguém ou algo para obter informações; espia. 2 pessoa paga para colher, clandestinamente, documentos secretos ou informações estratégicas sobre um país estrangeiro; agente secreto. Adjetivo 6 que faz espionagem; próprio para fazer espionagem (Houaiss, 2002).

Através dessas definições, pode-se concluir então que a espionagem é uma atividade realizada com o intuito de se obter informações tidas como confidenciais, e realizada de forma ilegítima, com propósitos por vezes distintos, mas sempre com a mesma conotação de ilegalidade.

Ao longo da história da humanidade, a espionagem sempre esteve presente. Prova disso são citações encontradas na Bíblia com referências diretas ao ato de espionagem:

Envia homens que espiem a terra de Canaã, que eu hei de dar aos filhos de Israel; de cada tribo de seus pais enviareis um homem, sendo cada qual um príncipe entre eles (Números 13,2).

Então, todos vós vos chegastes a mim e dissestes: mandemos homens adiante de nós, para que nos espiem a terra e nós digam por que caminho devemos subir e a que cidades devemos ir (Deuteronômio 1,22).

No entanto, outra referência mais remota ainda, é a obra do general chinês Sun Tzu, intitulada “A Arte da Guerra”, escrita no século IV antes de Cristo. Considerado como um dos livros de estratégia mais notáveis e influentes, traz um capítulo dedicado exclusivamente ao ato de espionagem e o uso de espiões.

A importância do conhecimento do inimigo, e como alcançar tal conhecimento é assim apresentado por Tzu (1996) em seus ensinamentos:

... continuar na ignorância da condição do inimigo, apenas porque alguém se recusa a desembolsar uma centena de onças de prata em honras e recompensas, é o cúmulo da desumanidade.

Quem age assim, não lidera homens, não serve de ajuda ao seu soberano, não é o artífice da vitória. O que possibilita ao soberano inteligente e ao bom general atacar, vencer e conquistar coisas além do alcance de homens comuns é a previsão. Ora, essa previsão não pode ser extraída da coragem; nem também por indução decorrente da experiência, nem por qualquer cálculo realizado.

O conhecimento das disposições do inimigo só pode ser conseguido de outros homens. O conhecimento do espírito do mundo tem de ser obtido por adivinhação; a informação sobre a ciência natural deve ser procurada pelo raciocínio intuitivo; as leis do universo podem ser comprovadas pelo cálculo matemático; mas as disposições do inimigo só são averiguadas por espiões e apenas por eles.

De acordo com Tzu (1996), os espiões podem ser divididos em cinco tipos:

• Espiões locais: Ter espiões locais significa empregar os serviços de habitantes de um distrito. Em país inimigo, conquistam-se as pessoas com bom tratamento, empregando-as como espiãs.

• Espiões internos: Ter espiões internos significa usar os funcionários do inimigo. Homens direitos que foram rebaixados no emprego; criminosos que sofreram penas; também concubinas favoritas, gananciosas de ouro; homens ofendidos por estarem em posições subalternas ou preteridos na distribuição de cargos; outros gananciosos para que seu lado seja derrotado e, assim, possam ter uma oportunidade de exibir sua capacidade e talento, volúveis vira-casacas que sempre estão em cima do muro. Funcionários dessas várias espécies devem ser abordados secretamente e atraídos pela concessão de presentes caros. Para isso, devemos ser capazes de descobrir a situação dos negócios no país inimigo, averiguar os planos preparados contra nós e, ainda mais, perturbar a harmonia e criar uma separação entre o soberano e seus ministros. Porém, há necessidade de extrema cautela ao lidar com espiões internos.

• Espiões convertidos: Ter espiões convertidos quer dizer apoderar-se de espiões do inimigo e empregá-los para nossos próprios fins: fazendo grandes subornos e promessas liberais, nós os afastamos do serviço do inimigo e os induzimos a fornecer-lhe informações falsas e, ao mesmo tempo, espionar seus compatriotas.

• Espiões condenados: Ter espiões condenados significa fazer certas coisas às claras, com o objetivo de enganar e permitir aos nossos próprios espiões tomar conhecimento e, quando traírem, comunicarem o que sabem ao inimigo. Faremos coisas calculadas para enganar nossos próprios espiões, que devem ser levados a acreditar que foram reveladas inconscientemente. Então, quando esses espiões tiverem sido capturados por trás das linhas inimigas, farão um relatório totalmente falso, levando o inimigo a tomar medidas adequadas, apenas para chegar à conclusão de que fizemos uma coisa muito diferente. Os espiões, por causa disso, serão mortos.

• Espiões sobreviventes: espiões sobreviventes são os que trazem notícias do acampamento inimigo. Esta é uma espécie comum de espiões, que devem constituir parte regular do exército. Seu espião sobrevivente deve ser um indivíduo de grande sagacidade, embora no aspecto pareça bobo; externamente desprezível, mas com uma vontade de ferro. Deve ser ágil, robusto, dotado de força física e coragem, inteiramente acostumado a toda espécie de trabalho sujo, capaz de suportar fome e frio e conspirar com a vergonha e a ignomínia.

A recomendação de Tzu é que todos os cinco tipos sejam utilizados, o que garantirá que ninguém irá descobrir o sistema secreto, e é o que considera como a faculdade mais preciosa de um soberano: “a manipulação divina dos fios” (Tzu, 1996).

2.1      Ciberespionagem

A partir da definição de espionagem, conceitua-se que a espionagem cibernética, ou ciberespionagem “refere-se a intrusões em redes para acessar informações diplomáticas, militares ou econômicas sensíveis” (Clapper, 2013, p. 1)^[1].

Trata-se, portanto, de ações deliberadas com o intuito de obter informações confidenciais, conquistadas sempre a partir de meios ilícitos. Com o desenvolvimento tecnológico os atos antes restritos ao mundo real, hoje se tornam cada vez mais comuns e frequentes no espaço virtual, ou ciberespaço.

Muitas são as ocorrências noticiadas que ilustram esse cenário, com a utilização de ciberespionagem em escala internacional por diferentes países do globo. Em 2009, por exemplo, foi descoberta uma rede eletrônica de espionagem, a qual teria se infiltrado em 1.295 computadores de 103 países. Baseada na China e conhecida com Ghosnet, não foi possível identificar evidências de que o governo chinês estivesse envolvido na rede de espionagem, mas o fato é que o alvo do monitoramento incluía ministros das Relações Exteriores de Irã, Bangladesh, Letônia, Indonésia, Filipinas, Brunei, Barbados e Butão, além de embaixadas de Índia, Coreia do Sul, Indonésia, Romênia, Chipre, Malta, Tailândia, Taiwan, Portugal, Alemanha e Paquistão (BBC Brasil, 2009). Acredita-se que o alvo principal seriam governos da Ásia e seu possível apoio à causa da independência do Tibet frente à China.

Já em janeiro de 2013, a Kaspersky Lab identificou uma campanha de ciberespionagem avançada e de grandes dimensões, conhecida como “Outubro Vermelho”. Dirigida a organizações diplomáticas e centros de investigação científica e governamentais de todo o mundo, se encontrava em operação há pelo menos cinco anos (Kaspersky, 2013). Segundo as investigações, 

o principal objetivo da campanha era obter documentação sensível das organizações, que incluíssem (sic) dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis e equipamentos de rede (Kaspersky, 2013).

Ainda em 2013, veio a público aquele que pode ser considerado o maior escândalo de ciberespionagem até então. A partir de revelações feitas pelo ex-agente da CIA Edward Snowden, o mundo tomou conhecimento dos programas de ciberespionagem do governo norte-americano através de sua Agência Nacional de Segurança (NSA). No dia 5 de junho, o jornal britânico “The Guardian” publicou a primeira reportagem sobre tais programas, que incluía: coleta de dados sobre ligações telefônicas, fotos, e-mails e videoconferências de usuários de serviços da Microsoft, Google, Facebook, Skype, Yahoo, entre outras, programas como o XKeyscore, Prism, ferramentas para explorar brechas em aplicativos como o “Angry Birds”, etc.

Todo esse aparato desenvolvido visava à espionagem de cidadãos norte-americanos e também estrangeiros, incluindo autoridades e governos de diversos países, como China, Alemanha, Itália, França, Espanha, Brasil, México, Venezuela, Argentina, Colômbia, Equador e vários outros. De acordo com o G1, 

arquivos classificados como ultrassecretos, que fazem parte de uma apresentação interna da Agência de Segurança Nacional dos Estados Unidos, mostram a presidenta Dilma Rousseff, e o que seriam seus principais assessores, como alvo direto de espionagem da NSA (G1, 2014).

A voracidade pela obtenção de informações do governo norte-americano provocou em todo o mundo diversas reações, incluindo o Brasil, que após pouco mais de dois meses das denúncias envolvendo a presidenta, publicou o Decreto 8.135/2013, esse uma resposta clara às ações de espionagem americana. Outros governos também têm exigido explicações dos Estados Unidos e estudado medidas que possam garantir maior segurança à suas informações e comunicações.

A julgar como as revelações feitas por Edward Snowden têm ocorrido, acredita-se que ainda há muito a ser conhecido do programa de ciberespionagem norte-americano.

Mas as ameaças de ciberespionagem a serem enfrentadas não se restringem à NSA. Conforme anunciado pela Kaspersky em 11 de fevereiro de 2014, foi descoberta uma campanha de espionagem, nos mesmos moldes do “Outubro Vermelho” que está ativa desde 2007. Trata-se do “The Mask”, 

uma avançada ameaça de língua espanhola cujos principais alvos são instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia, óleo e gás; organizações de pesquisa e ativistas. As vítimas desse ataque dirigido foram encontradas em 31 países – do Oriente Médio e Europa à África e Américas, incluindo o Brasil (IDGNOW, 2014).

Assim, o ato da espionagem, praticado desde tempos remotos, continua o sendo cada vez mais nos dias atuais, evoluído para a ciberespionagem. Isso leva a crer que continuará também no futuro, principalmente pelo estágio em que a humanidade se encontra, onde o conhecimento é tido como o ativo mais valioso das organizações.

---

3       AVALIAÇÃO DO DECRETO 8.135/2013

Apresenta-se a seguir uma avaliação do Decreto 8.135/2013, tendo como escopo conjecturar acerca de questões como sua finalidade, sua aplicabilidade, suas limitações e os desafios para seu cumprimento, principalmente para as disposições consideradas controversas.

Sem a pretensão de realizar uma análise do teor jurídico do dispositivo, o objetivo principal dessa avaliação é submeter à crítica as determinações impostas, a partir de uma perspectiva tecnológica e da segurança da informação, lançando também um olhar sobre os processos envolvidos para o seu cumprimento.

DECRETO Nº 8.135, DE 4 DE NOVEMBRO DE 2013

Dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, e sobre a dispensa de licitação nas contratações que possam comprometer a segurança nacional.

A PRESIDENTA DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso IV, da Constituição, e tendo em vista o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, ouvido o Conselho de Defesa Nacional,

DECRETA:

Art. 1º As comunicações de dados da administração pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias.

Em seu 1º artigo, o decreto apresenta os órgãos ou entidades da administração pública federal como os únicos credenciados a prestarem o serviço de comunicação de dados através de redes de telecomunicações e serviços de tecnologia da informação, incluindo também as empresas públicas e sociedades de economias mista da União. Tal imposição leva a crer que tais serviços estarão restritos a apenas duas empresas, as quais estariam habilitadas a oferecê-los: o Serviço Federal de Processamento de Dados – SERPRO e a Telecomunicações Brasileiras S. A. – TELEBRAS.

Considerando a máxima do mercado de que, quanto maior a concorrência, melhores serão os preços alcançados e melhor a qualidade do bem/serviço adquirido, tal situação pode ser considerada como desfavorável para os órgãos ou entidades da administração pública federal, que passam a estar impedidos de realizar licitações abertas ao mercado de ampla concorrência.

Outra questão que o artigo define é que a comunicação de dados deverá ser realizada por redes de comunicações e serviços de tecnologia da informação. Daí subentende-se que a troca de informações que não sejam realizadas através desses meios não será permitida. Uma vez que o governo ainda utiliza outros mecanismos como os serviços tradicionais dos Correios, tal imposição leva a interpretação de que, nesses casos, esses instrumentos utilizados deverão ser substituídos, o que em tese é perfeitamente possível, porém na prática ainda é uma questão que demandará muito tempo e esforço para se concretizar.

§ 1º O disposto no caput não se aplica às comunicações realizadas através de serviço móvel pessoal e serviço telefônico fixo comutado.

Ao excluir o serviço móvel pessoal e serviço telefônico fixo comutado, o decreto permite o fornecimento de tais serviços por terceiros (empresas privadas). Pode-se considerar que isso se deve ao fato de que as empresas públicas e sociedades de economia mista não oferecerem tais produtos/serviços, e estão incapacitadas de assumirem tal responsabilidade.

§ 2º Os órgãos e entidades da União a que se refere o caput deverão adotar os serviços de correio eletrônico e suas funcionalidades complementares oferecidos por órgãos e entidades da administração pública federal.

Nesse parágrafo, é feita uma referência explícita aos serviços de correio eletrônico, o qual foi o principal motivador do ordenamento do decreto. Mais uma vez, a administração pública federal terá uma contratação restrita a um único fornecedor, no caso, o Serviço Federal de Processamento de Dados – SERPRO, uma vez ser essa a única empresa com capacidade de prover tais serviços para os órgãos e entidades.

§ 3º Os programas e equipamentos destinados às atividades de que trata o caput deverão ter características que permitam auditoria para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações, na forma da regulamentação de que trata o § 5º.

No parágrafo 3º é apresentada a obrigatoriedade dos programas e equipamentos destinados às atividades de comunicações de dados possuírem características que possibilitem a realização de auditorias. O objetivo seria garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações, ou seja, a segurança da informação a partir de seus pilares fundamentais. Ocorre que tal exigência apresenta-se como utópica, uma vez que o cumprimento de sua conformidade é praticamente impossível.

Atualmente, as tecnologias por trás de uma rede de telecomunicações, sistemas de informação e serviços de tecnologia da informação são sempre providas a partir de um “ecossistema” complexo, que corresponde a uma gama de equipamentos e sistemas proveniente, na maioria das vezes, de diferentes fabricantes, sendo que muitos deles são empresas sediadas fora do país.

Assim que, em muitos desses componentes será impossível de se realizar qualquer tipo de auditoria, uma vez que possuem mecanismos que impedem uma avaliação minuciosa de seu funcionamento. Por outro lado, a utilização de tais recursos faz-se necessária e inevitável, não sendo possível, no caso específico do serviço de correio eletrônico o emprego de tecnologias 100% nacionais.

§ 4º O armazenamento e a recuperação de dados a que se refere o caput deverá ser realizada em centro de processamento de dados fornecido por órgãos e entidades da administração pública federal.

O parágrafo 4º trata do armazenamento e recuperação de dados a que se refere o caput, ou seja, os dados derivados das comunicações da administração pública federal direta, autárquica e fundacional. De acordo com a definição do Dicionário Eletrônico Houaiss o termo comunicação tem os seguintes significados:

Comunicação. Substantivo feminino. Ato ou efeito de comunicar(-se). 1 ação de transmitir uma mensagem e, eventualmente, receber outra mensagem como resposta. 1.1 processo que envolve a transmissão e a recepção de mensagens entre uma fonte emissora e um destinatário receptor, no qual as informações, transmitidas por intermédio de recursos físicos (fala, audição, visão etc.) ou de aparelhos e dispositivos técnicos, são codificadas na fonte e decodificadas no destino com o uso de sistemas convencionados de signos ou símbolos sonoros, escritos, iconográficos, gestuais etc. 2 a informação transmitida; seu conteúdo. 5 comunicado esclarecedor; esclarecimento; exposição. 7 carta, nota ou qualquer outra informação transmitida por escrito; comunicado. 8 exposição, oral ou escrita, sobre determinado tema de teor científico, administrativo, político, jornalístico, religioso etc. 9 participação oral ou escrita; aviso. 16 numa organização, função de transmitir ordens, ideias, políticas de ação etc. 20 intercâmbio que se processa, por meio de um código linguístico, entre um emissor, que produz um enunciado, e o interlocutor ao qual esse enunciado é dirigido. Comunicações. Substantivo feminino plural. 28 conjunto dos meios técnicos de comunicação; telecomunicações (Houaiss, 2002);

A partir dessas definições, presume-se que todas as informações transmitidas pela administração pública, ainda que sejam aquelas explicitamente públicas, tais como as informações disponibilizadas pelo Portal da Transparência deverão estar armazenadas em centros de dados de órgãos e entidades da própria administração pública federal. O resultado disso é que fica vedada a contratação de serviços tais como hospedagem, collocation ou computação em nuvem, numa decisão que vai contra uma tendência cada vez mais adotada pelo mercado mundial, não só pela iniciativa privada como também pela administração pública.

Em especial, a computação em nuvem possui um grande potencial que vem sendo explorado intensivamente por diferentes governos, como Estados Unidos, Chile, Austrália, Reino Unido, Canadá, Japão, dentre outros. Veloso (2013) declara que a nuvem cria benefícios significativos não só para governos, quanto para usuários individuais, ao possibilitar que a administração pública entregue seus principais serviços de forma mais econômica e eficaz para o benefício dos cidadãos.

Impedir a possibilidade do uso de tais serviços coloca o Brasil, e não só a administração pública, em situação desfavorável frente ao mercado internacional, já que as vantagens proporcionadas por esses modelos não poderão ser desfrutadas, principalmente no que se refere à inovação, eficiência e economia.

Importante destacar que novamente, a contratação ficará restrita ao Serviço Federal de Processamento de Dados – SERPRO, sem possibilidade de participação de fornecedores da iniciativa privada, em contratações onde o princípio da economicidade não será alcançado em sua totalidade. 

§ 5º Ato conjunto dos Ministros de Estado da Defesa, do Planejamento, Orçamento e Gestão e das Comunicações disciplinará o disposto neste artigo e estabelecerá procedimentos, abrangência e prazos de implementação, considerando:

No parágrafo 5º são definidos os entes públicos que estarão responsáveis por disciplinar o disposto no artigo, possibilitando que muitas das questões que se apresentam como nebulosas sejam mais bem esclarecidas, com o estabelecimento de procedimentos, definição da abrangência do decreto e prazos de implementação. Principalmente no que tange à abrangência, a necessidade de normativos adicionais que detalhem de forma mais ampla o escopo, os limites, exceções, etc., é de fundamental importância para que seja possível o correto cumprimento das disposições do artigo 1º do Decreto 8.135/2013. Dois incisos completam o parágrafo:

I - as peculiaridades das comunicações dos órgãos e entidades da administração pública federal; e

Os atos normativos a serem criados deverão considerar as particularidades dos órgãos e entidades. O disposto nesse inciso possibilita uma flexibilidade para os contratantes, ao permitir que suas especificidades sejam levadas em conta. Contudo, tal flexibilidade só será alcançada com os normativos a serem criados, os quais, não necessariamente garantirão a maleabilidade desejada.

II - a capacidade dos órgãos e entidades da administração pública federal de ofertar satisfatoriamente as redes e os serviços a que se refere o caput.

Novamente, apresenta-se a possibilidade de flexibilidade nas contratações, desde que devidamente normatizada, a partir da avaliação dos órgãos e entidades ofertantes dos serviços a serem contratados e sua capacidade de atender satisfatoriamente aos contratantes e suas demandas. 

Art. 2º Com vistas à preservação da segurança nacional, fica dispensada a licitação para a contratação de órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias, para atendimento ao disposto no art. 1º.

O artigo 2º do decreto elimina a necessidade de licitação para as contratações a serem feitas com órgãos e entidades da administração pública federal, empresas públicas e sociedades de economia mista da União e suas subsidiárias, sendo que tal dispensa é justificada em nome da segurança nacional. Espera-se assim, uma simplificação dos processos de contratação desses serviços e, inevitavelmente, uma vantagem competitiva desses órgãos, entidades, empresas públicas e sociedades frente a empresas da iniciativa privada que ofertem serviços correlatos. Na verdade, essa vantagem é apenas intensificada nesse artigo, uma vez que o primeiro já restringe as contrações junto a entes públicos, excluindo as empresas privadas da possibilidade de provimento desses serviços.

§ 1º Enquadra-se no caput a implementação e a operação de redes de telecomunicações e de serviços de tecnologia da informação, em especial à garantia da inviolabilidade das comunicações de dados da administração pública federal direta e indireta.

Esse parágrafo coloca a implementação e operação de redes de telecomunicações e serviços de tecnologia da informação como o cerne da dispensa de licitação determinada no caput do artigo, com vistas a garantir a inviolabilidade das comunicações de dados da administração pública.

Já o segundo parágrafo e seus incisos definem de forma mais ampla do que se constituem os serviços mencionados no parágrafo anterior:

§ 2º Os fornecimentos referidos no § 1º para a administração pública federal consistirão em:

I - rede de telecomunicações - provimento de serviços de telecomunicações, de tecnologia da informação, de valor adicionado e de infraestrutura para redes de comunicação de dados; e

II - serviços de tecnologia da informação - provimento de serviços de desenvolvimento, implantação, manutenção, armazenamento e recuperação de dados e operação de sistemas de informação, projeto de infraestrutura de redes de comunicação de dados, modelagem de processos e assessoramento técnico, necessários à gestão da segurança da informação e das comunicações.

O rol de serviços suscetíveis de enquadramento na definição posta nesses dois incisos abrange uma multiplicidade de possibilidades que praticamente todo e qualquer serviço relacionado às telecomunicações e tecnologia da informação serão passíveis de serem contratados nos termos do decreto, não só eliminando a necessidade de licitação como também levando à restrição de contratação desses serviços exclusivamente junto a órgãos da administração pública direta e indireta.

§ 3º A dispensa de licitação será justificada quanto ao preço pelo órgão ou entidade competente pela contratação.

No parágrafo 3º é feita apenas a determinação da necessidade de justificação da dispensa de licitação pelo órgão ou entidade responsável pela contratação, no que se refere ao preço dos contratos.

Art. 3º Este Decreto entra em vigor:

I - na data de sua publicação, em relação ao art. 2º; e

II - em cento e vinte dias após a data de sua publicação, em relação ao art. 1º.

Brasília, 4 de novembro de 2013; 192º da Independência e 125º da República.

DILMA ROUSSEFF

Celso Luiz Nunes Amorim

Miriam Belchior

Paulo Bernardo Silva

Por fim, o artigo 3º apresenta a vacatio legis para o decreto, especificando prazos distintos para o art. 2º, o qual tem vigência imediata após a sua publicação, e para o art. 1º, o qual passa a vigorar em quatro meses, também após a publicação.

Assim, publicado em 5 de novembro de 2013, o Decreto 8.135 desponta com a pretensão de ser a solução para ameaças reais e noticiados incidentes de espionagem das comunicações de autoridades brasileiras por outros governos.

Ainda que possa ser considerado como uma iniciativa louvável, o decreto levanta muitas críticas da comunidade especializada em segurança da informação, que vê com desconfiança a eficácia de tais medidas, fazendo surgir muitos questionamentos e ressalvas quanto às suas disposições.

Uma questão apresentada é a afirmação de que o decreto não diz exatamente o que deve ser feito e nem como deve ser feito, sendo considerado que houve uma preocupação excessiva em determinar apenas quem deverá fazer ou executar os serviços, no caso órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias.

Outro ponto que levanta muitas críticas é com relação à exigência apresentada no parágrafo 3º do art. 1º de que os programas e equipamentos destinados às atividades de comunicações de dados da administração pública devam ter características que permitam a auditoria para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações. Conforme já exposto, a realização de auditoria nos programas e equipamentos utilizados é praticamente impossível de ser realizada, e ainda que fosse realizável, o decreto apresenta um equívoco conceitual, uma vez que técnicas de auditoria não garantem os atributos da segurança da informação, apenas verificam de forma mensurável como estão sendo implementados os controles definidos na política de segurança da informação de uma organização.

Ainda sobre os desafios a serem enfrentados pela administração pública federal para o cumprimento do decreto, duas outras questões são apresentadas como extremamente críticas: primeiro, a financeira, relacionada aos investimentos que serão necessários; e segundo, os prazos exigidos.

Quanto aos investimentos, Defino Natal (2013 como citado em Lobo e Costa, 2013) diz que “a equação não vai fechar se o Serpro não tiver recursos do ministério do Planejamento. A caneta que assina o decreto terá que liberar dinheiro. Hoje não há recursos para pagar essa conta”. Cabe destacar que o autor da declaração foi secretário da Secretaria de Logística e Informação (SLTI), órgão ligado ao Ministério do Planejamento, Orçamento e Gestão, e possui larga experiência sobre a gestão pública.

De acordo com Grossmann (2013), a previsão do custo para a instalação do “e-mail seguro” fornecido pelo Serpro em todos os ministérios é orçada em R$ 300 milhões, e refere-se a uma projeção dos valores a serem gastos para atender a Esplanada ao longo do primeiro semestre de 2014. O montante refere-se aos investimentos a serem feitos pela empresa em toda sua infraestrutura para atender aos órgãos da administração federal.

Mas os custos não se restringem aos investimentos do Serpro. Segundo Marcos Mazoni (2013 como citado em Bacoccina, 2013), somente em função dos contratos a serem firmados decorrentes do Decreto 8.135/2013, estima-se um faturamento do Serpro em torno R$ 600 milhões, valor a ser pago pelos órgãos e entidades da administração federal.

Quanto aos prazos para seus efeitos, o decreto estabelece o prazo de 120 (cento e vinte) dias para o disposto no art. 1º, ou seja, que as comunicações de dados da administração pública federal sejam realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública direta. Decorridos mais de 90 (noventa) dias desde a sua publicação, ainda são muitos os órgãos e entidades que não fizeram a migração de seus sistemas. A razão das críticas surge então da evidente impossibilidade de que toda a administração pública tenha seus serviços de correio migrados até o fim do prazo determinado.

Por fim, muitas críticas são feitas ao Decreto 8.135/2013 avaliando a sua concepção. Desde que a presidenta Dilma Rousseff determinou a implantação de sistema seguro de e-mails em todo o governo federal (IDGNOW, 2013), até a publicação do decreto, transcorreram-se apenas 22 dias. Portanto, a partir da forma repentina como foi criado, deduz-se que não houve uma discussão mais ampla sobre o seu teor, de forma a possibilitar que outros atores pudessem opinar, como a comunidade especializada, nem tampouco a sociedade.

Assim, considerado como uma decisão tomada no calor da emoção, mais como uma resposta política às acusações de espionagem internacional do que efetivamente uma ação planejada para aumentar a segurança das informações nas mensagens oficiais, seus impactos em longo prazo ainda são desconhecidos e incertos.

---

4       SEGURANÇA DAS INFORMAÇÕES DA ADMINISTRAÇÃO PÚBLICA BRASILEIRA

Em 18 de novembro de 2011 foi publicada a Lei 12.527, a qual regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal. Conhecida como Lei de Acesso à Informação, entrou em vigor 180 dias após a sua publicação, em 16 de maio de 2012. Desde então, é dever dos órgãos e entidades públicas promover a divulgação de informações de interesse coletivo ou geral por eles produzidas ou custodiadas, em conformidade ao disposto no inciso I do art. 3º:

Art. 3º Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:

I - observância da publicidade como preceito geral e do sigilo como exceção; (Lei 12.527/2011).

Assim, ainda que a regra seja a publicidade, a própria lei prevê situações de sigilo das informações, como aquelas cuja divulgação possa pôr em risco a defesa e a soberania nacionais ou a integridade do território nacional. Destarte, a lei também determina como dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção.

Nesse contexto, a administração pública, não somente na esfera federal, mas também estadual ou distrital e municipal, devem adotar mecanismos, através de processos, tecnologias, regulamentações, etc., que garantam a segurança das informações que sejam consideradas sigilosas.

No atual cenário mundial, onde o Brasil se apresenta como uma potência emergente, a preocupação com a segurança da informação e as ameaças de ciberespionagem internacional deve ser levada a sério pelo governo brasileiro.

Considerar que os incidentes envolvendo a espionagem de informações sigilosas e estratégicas de autoridades brasileiras, órgãos e empresas públicas, foram casos esporádicos, que não irão se repetir caracteriza-se como ingenuidade.

Prova disso, vide as declarações do secretário de Estado norte-americano John Kerry, que afirmou que os Estados Unidos não vão parar com o sistema de monitoramento a cidadãos no país e exterior. Ele argumenta que o esquema de espionagem faz parte do sistema de segurança nacional americano, para garantir proteção não só para quem está nos Estados Unidos, mas também em outros países (Kerry, 2013 como citado em Giraldi, 2013).

Como resposta a essa e outras ameaças à segurança das informações brasileiras, medidas efetivas necessitam ser tomadas pela administração pública brasileira e os governos nas diferentes esferas.

Moraes (2013) aponta que o governo tem discutido algumas medidas, entre elas a criação de uma agência nacional de segurança cibernética e a implementação de ações integradas entre os muitos órgãos envolvidos na proteção da rede de computadores brasileira.

Tais medidas são vistas com bons olhos. Na afirmativa de Júnior (2013, p. 21) “a cooperação, o trabalho em conjunto e a disseminação ordenada de informações tornam-se essenciais em um mundo conectado e em constante evolução”.

Atualmente, os principais responsáveis pelas estratégias de defesa e políticas de segurança cibernética do governo federal são o Centro de Defesa Cibernética do Exército (CDCiber), ligado ao Ministério da Defesa (MD) e o Departamento de Segurança da Informação e Comunicações (DSIC), do Gabinete de Segurança Institucional (GSI) da Presidência da República (PR). Existe ainda a contribuição de outras instituições como a Agência Brasileira de Inteligência (ABIN), a Polícia Federal (PF), o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT), Serviço Federal de Processamento de Dados (Serpro), entre outros.

Muito além das barreiras políticas a serem ultrapassadas para a criação de uma agência nacional de segurança cibernética, questões orçamentárias talvez sejam o maior entrave a ser superado.

De acordo com Raphael Mandarino, diretor-geral do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional (DSIC), “no Brasil os aportes em ativos e soluções eletrônicas contra espionagem cibernética não chegam a R$ 5 milhões nos últimos cinco anos” (Mandarino, 2013 como citado em Aron, 2013). Esse montante é considerado pífio, se comparado aos investimentos feitos por meio da Agência Nacional de Segurança dos Estados Unidos (NSA), que somente no ano 2013 em operações de espionagem, somaram US$ 52,6 bilhões.

Nesse contexto, a necessidade da implantação de uma coordenação nacional, com recursos financeiros suficientes para implementação de ações efetivas mostra-se indispensável. Uma avaliação dos resultados do “Levantamento de Governança de TI 2012” do Tribunal de Contas da União (TCU) sobre a situação da governança de tecnologia da informação na administração pública federal corrobora essa afirmação. Os dados mostram, por exemplo, que o percentual de instituições que possuem processo de classificação das informações é de apenas 17%, número considerado pelo próprio TCU como extremamente baixo, sobretudo se considerado o advento da Lei 12.527/2011, e que a ausência de classificação pode implicar tratamento inadequado da informação, como a divulgação ostensiva de dados não públicos (TCU, 2013). Outro dado preocupante mostra que em comparação ao levantamento anterior, realizado em 2010, o percentual de instituições que realizam análise de risco caiu de 17% para 10%, o que significa que 90% das instituições públicas federais não realizam esse tipo de análise (TCU, 2013).

---

5       CONSIDERAÇÕES FINAIS

No atual cenário internacional, com o acirramento cada vez maior da concorrência mundial entre países, empresas ou grupos, tornar-se vítima de atividades de ciberespionagem se apresenta como uma possibilidade evidente.

Na mesma proporção em que a tecnologia avança, a dependência da mesma também amplia, transformando nossas relações, cada vez mais digitais. Cientes disso, aqueles que buscam obter informações sigilosas de forma ilícita o fazem utilizando-se principalmente de mecanismos desenvolvidos igualmente dos avanços tecnológicos.

Neste artigo, buscou-se realizar uma reflexão acerca do Decreto 8.135/2013, instituído com o objetivo principal de garantir a segurança das informações nas comunicações eletrônicas da administração pública federal. Ainda que suscite críticas sobre sua eficácia no alcance dos objetivos propostos, não há dúvidas que o decreto apresenta-se como uma iniciativa louvável. Demonstra que as autoridades brasileiras começam a conscientizar-se da importância da definição de políticas e ações que levem efetivamente ao aumento da segurança das informações da administração pública, em referência àquelas consideradas como sigilosas, e, portanto não públicas.

Sem dúvida, os desafios a serem enfrentados mostram-se grandes, mas não impossíveis de serem superados. Espera-se assim, que o empenho a ser demonstrado esteja à altura, possibilitando que o Brasil continue sua caminhada em busca do lugar de destaque e grandeza merecido e almejado por todos os brasileiros.

---

REFERÊNCIAS:

Aron, R. (2013). País investe em segurança proativa. Recuperado em 31 dezembro, 2013, de http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=15453&sid=42#!

Bacoccina, D. (2013). O Brasil não depende da Microsoft nem do Google. Recuperado em 15 fevereiro, 2014, de http://www.istoedinheiro.com.br/entrevistas/132130_O+BRASIL+NAO+DEPENDE+DA+MICROSOFT+NEM+DO+GOOGLE

BBC Brasil. (2009). Investigação descobre rede de espionagem eletrônica na China. Recuperado em 17 fevereiro, 2014, de http://www.estadao.com.br/noticias/internacional,investigacao-descobre-rede-de-espionagem-eletronica-na-china,346707,0.htm

Clapper, J. R. (2013). Worldwide Threat Assessment of the US Intelligence Community. Recuperado em 16 fevereiro, 2014, de http://www.intelligence.senate.gov/130312/clapper.pdf

Decreto 8.135 de 4 de novembro de 2013 (2013). Dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, e sobre a dispensa de licitação nas contratações que possam comprometer a segurança nacional. Brasília, DF. Recuperado em 01 dezembro, 2013, de http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2013/Decreto/D8135.htm

Deuteronômio. In: Bíblia Sagrada. Traduzida em Português por João Ferreira de Almeida. Revista e Atualizada no Brasil. 2 ed. São Paulo: Sociedade Bíblica do Brasil, 2008.

G1. (2014). Entenda o caso de Edward Snowden, que revelou espionagem dos EUA. Recuperado em 17 fevereiro, 2014, de http://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edward-snowden-que-revelou-espionagem-dos-eua.html

Giraldi, R. (2013). EUA vão manter monitoramento de dados de cidadãos americanos e estrangeiros, diz Kerry. Recuperado em 16 fevereiro, 2014, de http://memoria.ebc.com.br/agenciabrasil/noticia/2013-08-13/eua-vao-manter-monitoramento-de-dados-de-cidadaos-americanos-e-estrangeiros-diz-kerry

Grossmann, L. O. (2013). E-mail seguro em todos os ministérios custará R$ 300 milhões. Recuperado em 15 fevereiro, 2014, de http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=35394&sid=11#.Uv9ZHvldWzY

Houaiss, A. (2002). Dicionário eletrônico Houaiss da língua portuguesa. Rio deJaneiro: Objetiva.

IDGNOW. (2013). Dilma determina e-mail próprio do governo contra espionagem. Recuperado em 16 fevereiro, 2014, de http://www.eventosnowdigital.com.br/idgnow2/internet/2013/11/05/governo-determina-rede-propria-de-telecomunicacao-contra-espionagem

IDGNOW. (2014). The Mask é uma avançada operação de ciberespionagem global, diz Kaspersky. Recuperado em 17 fevereiro, 2014, de http://idgnow.com.br/internet/2014/02/11/the-mask-e-uma-avancada-operacao-de-ciberespionagem-global-diz-kaspersky/

Júnior, S. da C. (2013). A segurança e defesa cibernética no Brasil e uma revisão das estratégias dos Estados Unidos, Rússia e Índia para o espaço virtual. Brasília: IPEA, 2013 (Texto para Discussão n. 1850). Recuperado em 16 fevereiro, 2014, de http://www.ipea.gov.br/portal/images/stories/PDFs/TDs/td_1850.pdf

Kaspersky. (2013). Kaspersky Lab identifica operação Outubro Vermelho. Recuperado em 17 fevereiro, 2014, de http://www.kaspersky.com/pt/about/news/virus/2013/Kaspersky_Lab_identifica_operacao_Outubro_Vermelho

Lei 12.527, de 18 de novembro de 2011 (2011). Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências. Brasília, DF. Recuperado em 15 fevereiro, 2014, de http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm

Lobo, A. P., Costa, P. (2013). Sem dinheiro, o e-mail do Serpro não enfrenta o Gmail. Recuperado em 15 fevereiro, 2014, de http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=35280&sid=11#.Uv9Z7vldWzY

Moraes, M. (2013). Espionagem abre discussão sobre preparo do Brasil para uma guerra cibernética. Recuperado em 16 fevereiro, 2014, de http://www.bbc.co.uk/portuguese/noticias/2013/10/131011_defesa_seguranca_cibernetica_brasil_mm.shtml

Números. In: Bíblia Sagrada. Traduzida em Português por João Ferreira de Almeida. Revista e Atualizada no Brasil. 2 ed. São Paulo: Sociedade Bíblica do Brasil, 2008.

Tribunal de Contas da União (TCU). (2013). Levantamento de governança de TI 2012 / Tribunal de Contas da União; Relator Ministro Walton Alencar Rodrigues. Brasília, DF, Secretaria de Fiscalização de Tecnologia da Informação, Tribunal de Contas da União, 56 p.

Tzu, S. (1996). A arte da guerra. Adaptação e prefácio de James Clavell. Tradução de José Sanz (17ª ed., 114 pp.). Rio de Janeiro: Record.

Veloso, M. (2013). Cloud computing: necessidade e benefícios esperados com a adoção de uma política de regulação e incentivo ao seu uso. In: Congresso Consad de Gestão Pública, 6. Painel 28/105. Inovações tecnológicas, Brasília. Recuperado em 26 junho, 2013, de http://www.slideshare.net/mvsecurity/artigo-marcelo-velosoconsad2013

---

^[1] Tradução do autor.